「ABAC対ReBAC:認可ポリシーの対決」の要約

NIST SP800-63-4 2pd を読まなければいけないところですが、なぜかそれから逃げて、「ABAC対ReBAC:認可ポリシーの対決」というタイトルのYouTube動画を見終わったところです。せっかくなので、動画のNottaによる要約を以下に書いておきます。

YouTube動画の要約

この動画では、GabrielとAlexとDavidが、属性ベースのアクセス制御(ABAC)と関係ベースのアクセス制御(ReBAC)、別名ポリシーアズグラフについて議論しています。彼らは、きめ細かな認可に対するこれら2つのアプローチの主な違い、それぞれの利点、および潜在的なユースケースを探っています。議論では、優れた開発者体験の提供、ソフトウェア開発ライフサイクルへの認可の統合、そして顧客の需要に基づいてSaaSやCOTSベンダーがこれらのアプローチを採用する可能性についても触れています。さらに、Alphaのようなポリシー言語の将来や標準化の取り組みの可能性についても議論しています。

主要ポイント

導入と背景

ビデオはGabrielがAlexとDavidをABACとReBACの専門家として紹介することから始まります。彼らは、きめ細かな認可の概念と、リソース属性、コンテキスト、関係性などの追加の次元を考慮することで、従来の役割ベースのアクセス制御(RBAC)とどのように異なるかについて議論します。面白い試みとして、それぞれの「推し」のアプローチとは逆のアプローチの利点をアピールするところから始まります。

00:07:06 ReBAC(ポリシーアズグラフ)の利点

まず、ABAC推しのDavidが、ReBACを擁護して、認可にグラフベースのアプローチを使用することの利点を強調しています。これには、既存のツールやフレームワークの利用可能性、オープンエンドなクエリ(検索や逆クエリ評価)の実行能力、そしてポリシーの視覚的表現(理解の助けとなる)が含まれます。Alexは、グラフが分析に適しており、既存のグラフアルゴリズムを活用できると付け加えています。

00:11:50 ABAC(ポリシーアズコード)の利点

次に、ReBAC推しのAlexが、ポリシーアズコードとしても知られるABACの利点について議論します。彼は、コーディングに慣れた開発者にとって学習曲線が低い可能性があり、成熟したXACML標準に基づいていることを示唆しています。Davidは、ABACポリシーが平易な英語の要件を密接に反映できるため、理解と維持が容易になると付け加えています。

00:17:20 複雑性の管理と採用

議論は、きめ細かな認可の複雑性の管理と、SaaSやCOTSベンダーによる潜在的な採用に転じます。Gabrielは、ユーザーとリソースを粗粒度の役割やグループに分割し、その上にきめ細かなポリシーを適用することを提案しています。Davidは、OpenID財団のAuthZenワーキンググループに言及し、これが認可APIを標準化し、ベンダーによる採用を促進する可能性があると述べています。

00:51:00 開発者体験と統合

パネリストは、優れた開発者体験の提供とソフトウェア開発ライフサイクルへのシームレスな統合の重要性を強調しています。彼らは、体験を改善するための新しいポリシー言語やツールの可能性、およびノーコードソリューションへの傾向について議論しています。Davidは、Alphaポリシー言語を発展させ、潜在的に標準化する継続的な取り組みについて言及しています。

00:55:46 認可とアプリケーションロジックの区別

聴衆からの質問に答えて、Davidは認可ポリシーとアプリケーションロジックを区別するためのガイダンスを提供しています。彼は、認可ポリシーは副作用のないものであり、報告要件に焦点を当てるべきであるのに対し、アプリケーションロジックは厳密な報告ニーズなしにビジネスルールを扱うことができると示唆しています。

感想

OpenID財団におけるAuthZEN WGの活動は、現在注目を浴び始めている活動の一つです。この対談に登場する3人はこれに関わっている人々です。このように異なるアプローチを取るPDP (Policy Decision Point, ポリシー決定点) とでも、その決定については、PEP (Policy Enforcement Point, ポリシー強制点) とのにその決定を通知できるようになるべきですし、AuthZENではそのような規格を開発しています。ご興味のある方はぜひご参加を。

動画本体


@_Nat Zoneをもっと見る

購読すると最新の投稿がメールで送信されます。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください